कीमतें
लॉगिन करें NymVPN प्राप्त करें
लॉगिन करें

Nym वॉलेट सुरक्षा ऑडिट

निम वॉलेट का सुरक्षा ऑडिट

5 मिनट पढ़ें

परिचय

दिसंबर 2022 में, नाइम ने ओक सुरक्षा द्वारा किए गए एक स्वतंत्र सुरक्षा ऑडिट का सामना किया, जो जर्मनी स्थित साइबरsecurity परामर्श फर्म है जो तीसरी पीढ़ी के ब्लॉकचेन और विकेंद्रीकृत प्रोटोकॉल का ऑडिट करने में विशेषज्ञता रखती है। कोसमॉस, टेरा, पॉलीकडॉट और फ्लो जैसे पारिस्थितिकी तंत्रों में व्यापक अनुभव के साथ, ओक सुरक्षा को निम पारिस्थितिकी तंत्र के दो महत्वपूर्ण घटकों का मूल्यांकन करने का कार्य सौंपा गया: (1) निम मिक्सनेट और वेस्टिंग अनुबंध (देखें पूर्ण रिपोर्ट) और (2) निम वॉलेट (देखें पूर्ण रिपोर्ट). ऑडिट का उद्देश्य इन घटकों की सुरक्षा और मजबूती का आकलन करना, संभावित कमजोरियों की पहचान करना और सुरक्षित कोड विकास में सर्वोत्तम प्रथाओं के अनुपालन सुनिश्चत करना था। चीजों को पालन करना आसान बनाने के लिए, हमने प्रत्येक घटक के निष्कर्षों को तोड़ दिया है। आप Nym मिक्सनेट और वेस्टिंग अनुबंधों का ऑडिट सारांश यहाँ देख सकते हैं।

ओक सुरक्षा द्वारा न्यिम वॉलेट ऑडिट का सारांश

ऑडिट, जो दो सप्ताह तक चला, जिसमें ओक सुरक्षा के चार विशेषज्ञों की एक टीम शामिल थी। Nym टीम ने कोडबेस, परियोजना की विशिष्टताओं और प्रासंगिक दस्तावेज़ों का पूरा पहुँच प्रदान किया। ऑडिट का दायरा "nym-wallet" रिपॉजिटरी को कवर करता था।

ऑडिटर्स ने nym-wallet रेपॉजिटरी का एक व्यापक आकलन किया, इसके सुरक्षा कमजोरियों, एकीकरण तंत्र, क्रिप्टोग्राफिक मजबूती और सुरक्षित विकास प्रथाओं के प्रति औसत अनुपालन का मूल्यांकन किया।

ओक सुरक्षा ने सुरक्षा कमजोरियों को उजागर करने के लिए स्वचालित विश्लेषण को मैनुअल कोड जांच के साथ मिलाकर एक हाइब्रिड दृष्टिकोण अपनाया।

खोजों का अवलोकन

Nym वॉलेट एक अच्छी तरह से संरचित कोडबेस के साथ मध्यम से उच्च पठनीयता के लिए पाया गया। ऑडिटर्स ने विश्वसनीयता और बनाए रखने की क्षमता बढ़ाने के लिए परीक्षण कवरेज और दस्तावेज़ीकरण में सुधार करने की सिफारिश की।

Nym Wallet के लिए कुल 17 निष्कर्ष-report किए गए। कोई भी गंभीर के रूप में वर्गीकृत नहीं किया गया; चार को प्रमुख के रूप में रेट किया गया, जबकि शेष 13 को मामूली या सूचनात्मक के रूप में वर्गीकृत किया गया, जो बटुए के कार्यान्वयन को और बेहतर बनाने के अवसर प्रस्तुत करते हैं।

Nym टीम ने सभी प्रमुख निष्कर्षों का त्वरित समाधान किया, और ओक सुरक्षा ने सुधारों की समीक्षा की और उन्हें मंजूरी दी।

NYM-WALLET-1: लॉगआउट के बाद पासवर्ड अभी भी मेमोरी में है (मेजर)

ऑडिटरों ने पहचान की कि, यांत्रिक सरलता के विपरीत, इसे पुनः प्राप्त करने के लिए उपयोग किया गया पासवर्ड उपयोगकर्ता द्वारा लॉग आउट करने के बाद भी मेमोरी में दृश्यमान रहता है।

समस्या को संबोधित करने के लिए, Nym ने एक समाधान लागू किया जो लॉगआउट और खाता बनाते समय विंडो को पुनः चक्रीय करता है। यह क्रिया प्रभावी रूप से वेबव्यू को नष्ट करती है, जो जावास्क्रिप्ट रनटाइम को होल्ड करती है और किसी भी संवेदनशील डेटा, जिसमें मेमनोइक और पासवर्ड शामिल हैं, को मेमोरी से हटा देती है।

NYM-WALLET-2: खाता निर्माण के बाद वॉलेट के भीतर मेमोरी में रखा गया.mnemonic (प्रमुख)

लेखापरीक्षकों ने पहचाना कि जबकि मेमोरी में यूज़र लॉग आउट करते समय मेनोनिक सही ढंग से ओवरराइट किया जाता है, यह खाता निर्माण के बाद ऐसा नहीं है। विशेष रूप से, जब नए खाते को वॉलेट में बनाया जाता है, तो ट्रांसलेट किया गया पाठ स्पष्ट नहीं है, यहां तक कि उपयोगकर्ता लॉग आउट होने के बाद भी स्थायी रूप से स्मृति में प्रकट होता है, संभावित रूप से संवेदनशील जानकारी का खुलासा करता है।

NYM-WALLET-1 में लागू की गई समाधान भी इस मुद्दे को ठीक करती है।

NYM-WALLET-3: पासवर्ड विशेष चर के सीमित प्रस्ताव (महत्वपूर्ण)

ऑडिटर्स ने पहचान की कि वॉलेट में PasswordStrength घटक पासवर्ड की ताकत को लागू करने के लिए एक regex पैटर्न का उपयोग करता है, लेकिन यह पैटर्न बहुत सख्त है और पासवर्ड की एक व्यापक श्रृंखला की अनुमति देने के लिए अधिक लचीले प्रतीकों के सेट का उपयोग करने की सिफारिश की गई है। हमने इस मुद्दे का समाधान ऑडिटरों की सिफारिश के अनुसार regex पैटर्न को अपडेट करके किया, ताकि पात्रों की एक विस्तृत रेंज की अनुमति दी जा सके और पासवर्ड सुरक्षा को बढ़ाया जा सके।

हमने अधिक सटीक और मजबूत पासवर्ड की ताकत मान्यता के लिए Dropbox "zxcvbn" पैकेज को एकीकृत करके इस मुद्दे को हल किया।

NYM-WALLET-4: उपयोगकर्ता को मेमोनिक वाक्यांश को क्लिपबोर्ड पर कॉपी करने के लिए मजबूर किया जाता है (Major)

खाते के निर्माण के दौरान, उपयोगकर्ताओं को स्मरणांक वाक्यांश प्रस्तुत किया गया और "स्मरणांक कॉपी करें" बटन पर क्लिक करने की आवश्यकता थी, जो वाक्यांश को क्लिपबोर्ड पर कॉपी करता है। ऑडिटर्स ने इस प्रथा को एक सुरक्षा जोखिम के रूप में पहचाना, क्योंकि अन्य अनुप्रयोग संभावित रूप से स्मरणिका तक पहुंच सकते थे।

इसका समाधान करने के लिए, हमने ऑडिटर्स द्वारा अनुशंसित समाधान को लागू किया, जिसमें "कॉपी म्नेमोनिक" बटन को हटाना शामिल है। इसके बजाय, हमने यादाश्त वाक्यांश को सुरक्षित रूप से स्टोर करने और उपयोग करने के लिए दिशा-निर्देश जोड़े और उपयोगकर्ताओं के लिए एक चेकबॉक्स जोड़ा ताकि वे पुष्टि कर सकें कि उन्होंने प्रदान की गई जानकारी को पढ़ा और समझा है।

अंतिम शब्द

हम ओक सुरक्षा टीम को उनके विशेषज्ञता और इस ऑडिट प्रक्रिया के दौरान उनकी समर्पण के लिए धन्यवाद देना चाहेंगे। हम प्लानिंग और ऑडिट के कार्यान्वयन के दोनों चरणों के दौरान दिखाए गए सहयोग और पेशेवरता की भी सराहना करते हैं। हमारी लगातार सुरक्षा के प्रति समर्पण एक शीर्ष प्राथमिकता है, और हम अपने पारिस्थितिकी तंत्र के लिए उच्चतम मानकों को बनाए रखने के लिए सुरक्षा विशेषज्ञों के साथ निरंतर साझेदारी की उम्मीद करते हैं।

साझा करें

विषयसूची